Nhật ký "tập đoàn" hacker Conti, Phần 3: Xưởng vũ khí

Conti là tên một ransomware cực kỳ nguy hiểm và đứng đằng sau nó là cả một tập đoàn hacker với cơ cấu tổ chức chẳng khác gì doanh nghiệp. Trong series mang tên "Nhật ký "tập đoàn" hacker Conti" này, Quản Trị Mạng mời các bạn cùng tìm hiểu về một trong những nhóm hacker khét tiếng nhất hiện nay.

Trong Phần 1, chúng ta đã tìm hiểu cách Conti đối phó với những rò rỉ nội bộ và các cuộc tấn công từ các công ty bảo mật và chính phủ. Trong phần 2, chúng ta đã khám phá cơ cấu tổ chức của Conti và cảm giác làm việc cho băng đảng này dựa trên miêu tả của chính nhân viên Conti.

Và ở đây, trong Phần 3, mời các bạn xem xét cách Conti lạm dụng các dịch vụ an ninh thương mại phổ biến để phá hoại bảo mật của các mục tiêu cũng như cách các sếp của Conti lập chiến lược để chiếm ưu thế trong các cuộc thương lượng về tiền chuộc với nạn nhân.

Cho tới nay, Conti là nhóm ransomware hoạt động thành công nhất khi thường xuyên nhận được các khoản tiền chuộc hàng triệu USD từ các nạn nhân (chủ yếu là doanh nghiệp hoặc tổ chức). Lý do là vì Conti biết chọn đúng mục tiêu để tấn công. Thay vì dàn trải ra mọi đối tượng, Conti chỉ tập trung toàn bộ nguồn lực của mình vào các công ty có doanh thu hàng năm trên 100 triệu USD.

Và khi kế hoạch đó thành công, gần đây bản thân Conti cũng gia nhập câu lạc bộ doanh thu 100 triệu USD. Theo báo cáo mới được công bố, Conti có doanh thu ít nhất 180 triệu USD vào năm ngoái.

Các cuộc trò chuyện bị rò rỉ cho thấy mỗi tháng Conti chi ra hàng nghìn USD để mua các công cụ bảo mật và chống virus. Các nhân viên của Conti sẽ phải kiểm tra xem những phần mềm diệt virus trên có thể phát hiện ra mã độc của chúng hay không và để dùng cho các biện pháp bảo mật nội bộ.

Một cuộc trò chuyện giữa quản lý cấp cao của Conti là "Reshaev" và cấp dưới "Pin" vào ngày 8/8/2021 cho thấy Rashaev lệnh cho Pin âm thầm kiểm tra các admin mạng của Conti mỗi lần một tuần để đảm bảo họ không làm bất cứ điều gì phá hoại tính toàn vẹn hoặc tính bảo mật của các hoạt động trong nhóm. Rashaev yêu cầu Pin cài đặt các công cụ phát hiện và phản hồi điểm cuối (EDR) trên máy tính của mọi quản trị viên.

"Hãy kiểm tra hoạt động của quản trị viên trên các máy chủ mỗi tuần", Rashaev nói. "Hãy cài EDR trên mọi máy tính (ví dụ, Sentinel, Cylance, CrowdStrike); thiết lập hệ thống lưu trữ phát tạp hơn, bảo vệ kết xuất LSAS trên tất cả máy tính; chỉ có một tài khoản đang hoạt động; cài đặt các bản cập nhật bảo mật mới nhất; cài đặt tường lửa trên tất cả các mạng".

Những kẻ cầm đầu Conti hiểu rằng nhân viên của họ đang xử lý những dữ liệu vô cùng nhạy cảm và vô giá mà chúng đánh cắp được từ các công ty. Những dữ liệu này sẽ được bán với giá cực kỳ cao trên các diễn đàn tội phạm mạng. Nhưng trong một công ty được điều hành bởi những kẻ gian thì thật khó để tìm được niềm tin.

"Lúc nào anh đang theo dõi tôi, anh không tin tôi ư?", một nhân viên tầm trung với biệt danh "Bio" của Conti hỏi "Tramp" (hay còn được gọi là Trump). Trump là một trong những lãnh đạo cao nhất của Conti. Bio đang xử lý một vụ chuyển Bitcoin quy mô lớn để chuộc lại dữ liệu và phát hiện ra Trump đang theo dõi anh ta.

"Với số tiền lớn như thế và với những người chẳng hề thân thuộc, những người chưa bao giờ thấy nhiều tiền như vậy thì làm sao tôi có thể tin tưởng 1.000%", Trump trả lời. "Tôi đã làm việc ở đây hơn 15 năm và chưa từng thấy mình sai".

OSINT

Conti đã đầu tư rất nhiều tiền cho thứ mà nó gọi là "OSINT" hay còn được biết tới là công cụ tình báo mã nguồn mở. Ví dụ, nó đăng ký nhiều dịch vụ có thể giúp xác định ai hoặc cái gì đứng đằng sau một địa chỉ IP cụ thể hoặc liệu một IP nhất định có được liên kết với một dịch vụ mạng riêng ảo (VPN) đã biết hay không. Trung bình, một ngày Conti có quyền truy cập vào hàng chục nghìn PC nhiễm ransomware và OSINT cho phép chúng chỉ tập trung vào các máy tính bị nhiệm nằm trong mạng lưới của các công ty lớn.

Các hoạt động của OSINT còn liên quan tới việc lạm dụng những dịch vụ thương mại có thể giúp Conti chiếm thế thượng phong trong các cuộc thương lượng về tiền chuộc với các nạn nhân. Conti thường đặt yêu cầu tiên chuộc dựa trên tỷ lệ phần trăm doanh thu hàng năm của nạn nhân. Thậm chí, Conti còn biết cách quấy rối thành viên hội động quản trị và các nhà đầu tư của các công ty từ chối trả tiền chuộc.

Tháng 10/2021, nhân viên cấp thấp "Bloodrush" nói với quản lý của mình "Bentley" rằng Conti cần đăng ký thuê bao Crunchbase Pro và Zoominfo gấp. Các dịch vụ này cung cấp thông tin chi tiết về hàng triệu công ty, chẳng hạn như bao nhiêu bảo hiểm mà công ty đang duy trì, ước tính thu nhập mới nhất của họ và thông tin liên lạc của các quan chức điều hành và thành viên hội đồng quản trị.

Trong một dự án kéo dài nhiều tháng vào năm ngoái, Conti đã đầu tư tới 60.000 USD để có được giấy phép Cobalt Strike hợp lệ. Đây là công cụ trinh sát và thử nghiệm thâm nhập mạng chỉ được bán cho các đối tác đã được kiểm chứng. Tuy nhiên, các giấy phép Coba bị đánh cắp hoặc bị cấp sai thường bị các băng nhóm tội phạm mạng lạm dụng để giúp tạo cơ sở cho việc cài đặt ransomware trên mạng của nạn nhân. Có vẻ như 30.000 USD trong số 60.000 USD được dùng để mua giấy phép sử dụng Cobalt Strike còn 30.000 USD còn lại được trả cho một công ty bí mật thay mặt Conti mua giấy phép.

Tương tự như vậy, Bộ phận Nhân sự (Human Resources Department) của Conti đã lên ngân sách hàng nghìn USD mỗi tháng cho việc đăng tin tuyển dụng trên các diễn đàn hacker và cả các nền tảng tuyển dụng. Sau đó, nhân viên HR của Conti sẽ sàng lọc hồ sơ để tìm ra các nhân viên tiềm năng. Trong một ghi chú cho các taskmaster, quản lý "Stern" nói rằng Conti có quyền truy cập có trả phí vào một nền tảng việc làm. Nhân viên bộ phận nhân sự "Salamandra" của Conti trả lời Stern rằng họ đã xem 25 đến 30% trên tất cả CV có liên quan trên nền tảng đó.

"Khoảng 25% CV sẽ được mở miễn phí cho anh vì chúng đã được bởi bởi các quản lý khác trong công ty của chúng ta. Một số CV đã được mở cho anh, theo thời gian, con số của chúng ta sẽ là từ 30 đến 35%", Salamandra viết. "Trong số 10 CV, sẽ có sẵn khoảng 3 CV".

"Reversers" là một đơn vị khác trong Conti được phân bổ ngân sách riêng. Bộ phận này chịu trách nhiệm tìm kiếm và khai thác các lỗ hổng bảo mật mới trong phần cứng, phần mềm và các dịch vụ điện toán đám mây được sử dụng rộng rãi. Ngày 7/7/2021, Stern ra lệnh cho kỹ sư đảo ngược "Kaktus" huy động cả đơn vị Reversers tập trung vào Windows 11, hệ điều hành mới của Microsoft.

"Win11 sắp ra mắt, chúng ta nên chuẩn bị sẵn sàng cho điều này và bắt đầu nghiên cứu nó đi là vừa", Stern nói. "Bản beta đã có sẵn rồi đó, các anh nên tải về và mày mò đi".

Quan hệ rộng

Conti bàn bạc rất nhiều về số tiền mà nạn nhân phải trả và các phương thức tăng tốc quá trình đàm phán. Trong lĩnh vực này, Conti có sự hỗ trợ của rất nhiều "đối tác" bên thứ ba.

Một bức ảnh chụp cuộc trò chuyện của nhân viên Conti cho thấy có một nhà báo thuộc biên chế của chúng. Conti có thể thuê anh ta viết bài gây áp lực buộc các công ty nạn nhân phải trả tiền chuộc.

"Có một nhà báo có thể đe dọa họ (nạn nhân) với 5% (phí viết bài) trên tổng số tiền chuộc", thành viên Conti với biệt danh "Alarm" viết vào ngày 30/3/2021.

Conti cũng có quan hệ mật thiết với những người làm việc ở các công ty chuyên xử lý các vấn đề liên quan tới ransomware. Những người này, thường được gọi là người đàm phán, sẽ đứng ra liên hệ, thương lượng và thanh toán tiền chuộc giúp cho các nạn nhân.

Trong nội bộ Conti, có một người đàm phán thân thiện tới nỗi được đặt biệt danh là "The Spaniard". Theo Mango, người này có quốc tịch Romainia và đang làm việc cho một công ty chuyên xử lý ransomware của Canada.

Trong vụ tấn công hãng thiết bị thể thao LeMans Corp., The Spaniard đã giúp Conti thương lượng một cách nhanh chóng với nạn nhân. Bên cạnh đó, The Spaniard cũng hỗ trợ LeMans bằng cách thúc giục Conti chấp nhận khoản tiền chuộc 1 triệu USD bởi doanh thu của công ty này dưới 100 triệu USD.

Trong một cuộc thảo luận khác, người đàm phán thúc giục Conti xem xét lại một yêu cầu tiền chuộc quá lớn. "Khách hàng của tôi chỉ có tối đa 200.000 USD để thanh toán và chỉ mốn có dữ liệu", The Spaniard viết vào ngày 7/10/2021. "Các anh nên xem xét lại hoặc thỏa thuận này sẽ bị hủy".

Hiện tại, nhiều doanh nghiệp/tổ chức đã mua bảo hiểm an ninh mạng để bù đắp những tổn thất liên quan tới các cuộc tấn công ransomware. Các cuộc trò chuyện cho thấy Conti đã xung đột về việc xử lý những nạn nhân này. Các nạn nhân có bảo hiểm thường sẽ trả tiền chuộc nhưng các cuộc đàm phán thường phức tạp và kéo dài, mệt mỏi. Hơn nữa, các công ty bảo hiểm không bao giờ trả những khoản tiền chuộc lớn.

"Họ được bảo hiểm cho các rủi ro an ninh mạng, chúng ta đang chờ cái gì vậy?", quản lý cấp cao "Revers" của Conti hỏi trong một cuộc trò chuyện vào ngày 14/9/2021.

"Sẽ có giao dịch với công ty bảo hiểm?", nhân viên có biệt danh "Grant" hỏi.

"Đó không phải là cách giải quyết vấn đề", Revers trả lời. "Họ có ngân sách bảo hiểm. Chúng ta chỉ cần lấy số tiền ấy và thế là xong".

Tống tiền kép

Conti là nhóm hacker tiên phong trong việc áp dụng phương pháp tống tiền kép. Nó đòi nạn nhân phải thanh toán cho hai yêu cầu riêng biệt: Một khoản thanh toán để đổi lấy khóa giải mã và một khoản thanh toán khác cho cam kết rằng mọi dữ liệu bị đánh cắp sẽ được xóa bỏ, không bị bán hoặc đăng tải trên internet. Ít ra thì Conti cũng giữ đúng lời hứa của mình, lịch sử hoạt động cho thấy nhân viên của Conti tiến hành xóa dữ liệu sau khi nhận được tiền chuộc.

Các nạn nhân của Conti được dẫn tới một trang trên dark web có đồng hồ đếm ngược. Những nạn nhân không thương lượng được khoản tiền chuộc trước khi đồng hồ chạy hết thời gian sẽ thấy dữ liệu nội bộ của họ được xuất bản tự động trên blog về nạn nhân của Conti.

Cái hay của phương pháp tống tiền kép là ngay cả khi nạn nhân từ chối trả tiền chuộc dữ liệu - vì đã sao lưu - họ vẫn có thể phải trả tiền để đảm bảo dữ liệu của họ không bị lộ.

Dao sắc không gọt được chuôi

Dù rất ranh ma nhưng Conti dường như đang phải chịu những đợt rò rỉ thông tin nội bộ cực kỳ đáng báo động. Một nhà nghiên cứu bảo mật người Ukraina đăng tải dữ liệu trò chuyện và cả mã nguồn của Conti lên mạng. Sau đó, nhiều thông tin khác liên quan tới các thành viên của Conti cũng đã được đăng tải.

Ngày 3/3/2022, một tải khoản mới trên Twitter có tên "Trickbotleaks" đã đăng tải tên, ảnh và thông tin của các cá nhân được cho là quản trị viên của Trickbot. Nhiều cá nhân bị lộ thông tin có biệt danh trùng với biệt danh Conti đã được đề cập trong loạt bài này. Tài khoản Trickbotleaks đã bị khóa chỉ trong vòng chưa đầy 24 giờ.

Nhật ký trò chuyện của Conti cũng tiếp tục bị đăng tải trên Twitter. Điều này cho thấy Conti vẫn chưa phát hiện ra ai là nội gián trong đội ngũ của họ.

Trước những vấn đề liên tiếp xảy ra, gần đây Conti đã tuyên bố giải thể. Tất nhiên là đội ngũ Conti không hề bỏ nghề, chúng sẽ được phân bổ sang các ransomware nhỏ hơn nhưng vẫn dưới sự điều hành của các ông trùm trước đây của Conti. Thương hiệu Conti sẽ không được sử dụng nữa nhưng nó vẫn sẽ là nỗi khiếp sợ của các doanh nghiệp lớn mỗi khi nghe thấy.

Loạt bài về nhóm hacker Conti đã hoàn thành tới phần thứ 3. Bạn có thể đọc lại hai phần trước tại đây:

• Nhật ký "tập đoàn" hacker Conti, Phần 1: Chạy trốn
• Nhật ký "tập đoàn" hacker Conti, Phần 2: Chuyện công sở

Quản Trị Mạng cũng đã hoàn thành nốt Phần 4 liên quan tới cách Conti kiếm tiền bằng cách chiến dịch lừa đảo tiền ảo, mong các bạn sẽ ủng hộ.